The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

災害復旧対事業継続

あなたがIT部門にいるからというだけの理由で、経営陣から事業継続を導入する任務を与えられた事はありませんか。なぜ事業継続は情報技術だと一般に思われているのでしょうか。

これはおそらく、事業継続の起源が災害復旧にあり、災害復旧が基本的に情報技術に関する事だからでしょう。 2030年前は、事業継続(BC)という概念は存在せず、災害復旧(DR)という概念だけが存在していました。その主な関心は、災害が発生したときに、どのようにデータを保存するかでした。その当時は、たとえば地震発生時に、組織のあらゆる重要なデータを保管できるように、高価な設備を購入して遠隔地に配置することが流行していました。データは保管されるだけでなく、元の場所にあったときとほぼ同じように処理できるようになっていました。

けれども、しばらくすると皆気づきました。データを利用する事業が存在しなかったら、そのデータは何の役に立つのかということに。 ここから事業継続のアイデアが誕生しました。その目的は、大きな中断があった場合でも、事業を継続できるようにすることです。

定義

定義を見てみましょう。事業継続が「あらかじめ定めた受容可能なレベルで事業運営を継続するために、インシデント及び事業中断(混乱)に対して計画を立案し対応する、組織の戦略的及び戦術的な能力」(BS 25999-2: 2007)であるのに対し、災害復旧は「天災や人災の後の、組織に不可欠な技術インフラストラクチャの復旧・継続のための準備に関連するプロセス・方針・手順」(Wikipedia.org)です。

定義からわかるように、DRの重点が技術にあるのに対し、BCの重点は事業運営にあります。 したがって、災害復旧は事業継続の一部です。災害復旧は、事業運営を可能にする原動力、あるいは、事業継続の技術的部分だと言えるかもしれません。

けれども、もう一つ気がついた人もいると思います。それは、BCの定義は BS 25999-2(事業継続管理の代表的な規格)から引用されているのに対し、DRの定義はWikipediaから引用されていることです。実際、「事業継続」は規格で認められた正式の用語ですが、「災害復旧」はそうではありません。

導入の意味

では、IT部門が組織全体の事業継続を実施するのは、どうしてよくないのでしょうか。事業継続は、基本的に事業の問題であって、ITの問題ではないからです。IT部門が組織全体の事業継続を実施した場合、事業活動の重要性も情報の重要性も定義できないでしょう。さらに言えば、組織の事業部門が積極的に参加してくれるかどうかも疑問です。

BCの導入を準備する最善の方法は、プロジェクトを事業側に指導させることです。これこそが、組織のあらゆる部門からより多くの認識と承認を得る方法です。 そのようなプロジェクトにおいて、IT部門が演じるべきなのは、中心的な役割の一つである、災害復旧計画の作成です

ウェビナー Implementing Business Impact Analysis according to ISO 22301 では、事業のクリティカルアクティビティに向けたRTOとRPOの定義方法を解説します。

If you enjoyed this article, subscribe for updates

Improve your knowledge with our free resources on ISO 27001/ISO 22301 standards.

You may unsubscribe at any time.

For more information on what personal data we collect, why we need it, what we do with it, how long we keep it, and what are your rights, see this Privacy Notice.

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

顧客事例

当社のパートナー

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL®はAXELOS社の登録商標です。AXELOS社の許可の下に使用され、すべての権利はAXELOS社に帰属します。
  • DNV GLビジネス・アシュアランスは、公認のマネジメントシステム認証サービスを提供する業界随一の機関です。